AllSigningEqual-Gruppolicy

Om AllSigningEqual grupprincip är inaktiverad rangordnar Windows drivrutinspaket signerade av en Windows-signeringsutfärdare (Microsoft-signatur) bättre än drivrutinspaket som har något av följande:

• En Authenticode- signatur.

• Microsoft-signatur för en tidigare Windows-version än värdet LowerLogoVersion för drivrutinspaketets enhetsinstallationsklass.

Om AllSigningEqual gruppolicy är inaktiverad väljer Windows ett drivrutinspaket som signerat av en Windows-certifikatutfärdare över ett Authenticode-signerat drivrutinspaket, även om det Authenticode-signerade drivrutinspaketet annars är en bättre matchning för en enhet.

Signaturer från en Windows-signeringsutfärdare rangordnas lika och innehåller följande signaturtyper:

• Premium WHQL-signaturer och whql-standardsignaturer

• Signaturer för inkorgsdrivrutinspaket

• Windows Sustained Engineering-signaturer (SE)

• En WHQL-signatur för en Windows-version som är samma eller senare än värdet LowerLogoVersion för drivrutinspaketets enhetsinstallationsklass.

En nätverksadministratör kan ändra det här beteendet genom att aktivera grupprincipen AllSigningEqual. Detta konfigurerar Windows för att behandla alla Microsoft-signaturtyper och Authenticode-signaturer som lika med rangordning när du väljer det drivrutinspaket som passar bäst för en enhet.

Obs Från och med Windows 7 är grupprincipen AllSigningEqual aktiverad som standard.

Tänk till exempel på den situation där en nätverksadministratör måste konfigurera klientdatorer i ett nätverk för att installera drivrutinspaket på följande sätt:

• En klientdator bör endast installera ett nytt drivrutinspaket om drivrutinspaketet har en Authenticode-signatur som utfärdas av en företagscertifikatutfärdare (CA) som skapas för nätverket. Ett företag kanske vill göra detta för att säkerställa att alla drivrutinspaket som är installerade på klientdatorer är signerade och att den enda betrodda signeringsutfärdare som inte är Microsoft är den certifikatutfärdare som hanteras av företaget.

• För signerade drivrutinspaket ska signaturpoängen inte användas för att fastställa det drivrutinspaket som har den bästa rangordningen. Endast summan av funktionspoängen och identifierarpoängen används för att jämföra antalet drivrutinspaket. Om till exempel summan av funktionspoängen och identifierarpoängen för en ny drivrutin är lägre än motsvarande summa för en inkorgsdrivrutin, installerar Windows det nya drivrutinspaketet.

För att åstadkomma detta, en nätverksadministratör:

• Lägger till ett Enterprise CA-certifikat i Trusted Publisher Store för klientdatorerna.

• Aktiverar AllSigningEqual gruppolicy på klientdatorer.

När nätverksadministratören har konfigurerat klientdatorerna på det här sättet kan administratören signera drivrutinspaketet som har Enterprise CA-certifikatet och distribuera drivrutinen till klientdatorerna. I den här konfigurationen installerar Windows på klientdatorer det nya drivrutinspaketet för en enhet i stället för ett Microsoft-signerat drivrutinspaket om summan av funktionspoängen och identifierarpoängen är lägre än motsvarande summa för det Microsoft-signerade drivrutinspaketet.

Följ de här stegen för att konfigurera grupprincipen AllSigningEqual i Windows Vista och senare versioner av Windows:

1. På Start-menyn klickar du på Kör.

2. Ange GPEdit.msc för att köra redigeraren för grupppolicy och klicka på OK.

3. I den vänstra rutan i grupprincipredigeraren klickar du på Datorkonfiguration.

4. På sidan Administrativa mallar dubbelklickar du på System.

5. På sidan System dubbelklickar du på Enhetsinstallation.

6. Välj Behandla alla digitalt signerade drivrutiner på samma sätt i drivrutinsranknings- och urvalsprocessen och klicka sedan på Egenskaper.

7. På fliken Inställningar väljer du Aktiverad (för att aktivera grupprincipen AllSigningEqual) eller Inaktiverad (om du vill inaktivera AllSigningEqual grupprincip).

Gör följande för att säkerställa att inställningarna uppdateras i målsystemet:

1. Skapa en genväg till Cmd.exe, högerklicka på genvägen Cmd.exe och välj Kör som administratör.

2. I Kommandotolksfönstret kör du uppdateringsverktyget för grupprincip, GPUpdate.exe.

Den här konfigurationsändringen görs en gång och gäller för alla efterföljande installationer av drivrutinspaket på datorn tills AllSigningEqual har konfigurerats om.

Mer information om rangordning av drivrutinspaket finns i Hur Windows rangordnar drivrutiner.